广东
“中国网事·感动2017”网络感动人物评选一季度启动
您家摄像头分分钟遭入侵?专家教你如何防范
来源: 新华网    时间: 2017-06-20 14:44

  您家摄像头分分钟遭入侵?专家教你如何防范

  你家摄像头安全吗?你是否知道自己在顾及老人安全、保姆带娃、有否小偷等安全问题时,你的摄像头正在出卖你的隐私甚至是其它的安全?哪些用户又最容易被入侵呢?国家质检总局18日发布了智能摄像头质量安全风险警示,为此新华网采访国家互联网应急中心工程师贾子骁、360高级工程师郑广瑞,就如何防范摄像头遭入侵等问题回答记者提问。

  精彩观点

  根据国家互联网应急中心的监测,目前消费者使用的智能摄像头安全状况如何?哪些省份是高发地?

  山东、辽宁、河北、广东、河南、浙江、江苏等省份是智能设备木马攻击事件的高发地

  近年来,智能摄像头等联网设备频繁曝出存在安全漏洞和遭受网络攻击等事件。我国浙江、广东和江苏等沿海省份的智能摄像头基数较大,存在弱口令漏洞的智能摄像头监测数量也位于前列,每个省份的弱口令联网摄像头数量均超过了1万。摄像头等智能设备如果存在弱口令漏洞或者其他的系统漏洞,容易被他人非法登录访问、偷看监控视频或窃取用户数据,也很容易被黑客植入木马程序发动网络攻击。目前发现约有10多种智能设备木马,以其中一种典型的智能设备木马为例:在2017年第1季度,境内的木马受控IP(一般为智能设备联网IP)总数高达40余万个,木马控制服务器IP数量638个,平均每天就有29个控制服务器利用近7000个智能设备向189个IP地址发动拒绝服务攻击,影响公共互联网的安全运行,我国山东、辽宁、河北、广东、河南、浙江、江苏等省份是智能设备木马攻击事件的高发地。

  智能摄像头的IP地址和登录密码是如何落入别人手中的?

  设备弱口令漏洞 用户安全意识淡薄

  黑客主要使用批量扫描器,通过大范围的IP扫描,来寻找互联网上存在弱口令漏洞的,或者黑客对其他系统“脱库”后,被事先掌握登陆密码的智能摄像头设备,也存在使用暴力破解等攻击手段破解密码的情况。设备弱口令漏洞是由于用户安全意识淡薄,使用admin、123456、111111等过于简单的弱口令密码,或者未修改在线联网设备出厂时的默认密码;其二是黑客使用撞库攻击,我们每个人的密码数量都是有限的,同一个密码往往会在多个网站使用,一旦其中一个网站的用户信息外泄,攻击者就可以拿着这组账号和密码去其他网站上尝试登录。

  扫描IP地址是通过什么原理来进行的呢?

  一些山寨摄像头厂商生产的产品存在设计缺陷

  一些山寨摄像头厂商生产的产品存在设计缺陷,这些摄像头本身就存在漏洞和极大的安全隐患。早在2016年5月,360公司就发布了国内首个智能摄像头的安全报告,报告显示,近8成产品存在用户信息泄露、数据传输未加密等问题,黑客可以远程获取用户实时监控画面。这些设计缺陷和后台漏洞可以被不法分子利用,扫描软件通过提取并且匹配这些特征得到相应的摄像头IP。

  哪些用户最容易被入侵?如何减少被入侵的风险呢?

  及时下载官方补丁,修复系统漏洞;建议使用分级密码

  互联网越来越多的融入到我们的社会,成为我们生活中必不可少的一个部分,缺乏必要的网络安全常识、安全防范意识淡薄的公众用户往往容易遭受网络攻击。

  一方面,建议社会公众平时应关注联网设备厂商、CNCERT等安全机构发布的网络安全公告信息,及时下载官方补丁,修复系统漏洞;同时建议使用分级密码,对网银、网购等涉及财产交易的重要账户使用最复杂、安全级别最高的密码;对家用摄像头、无线路由器等涉及个人隐私的、较为重要的账户使用比较复杂、具有一定安全级别的密码;而对其他的一般性网站和论坛等使用其它密码,避免重要密码被黑客撞库外泄,还需要保持定期修改密码的习惯。

  山寨的摄像头主要有哪些风险?

  从产品设计、开发到管理的安全意识和安全技术水平参差不齐

  山寨摄像头生产厂商从产品设计、开发到管理的安全意识和安全技术水平参差不齐,设备、应用、服务端、客户端都可能存在各种各样的安全漏洞和安全风险。比较典型的问题例如设备默认口令、数据明文传输、视频存储不规范、用户权限校验不合理、APP未安全加固、代码逻辑存在缺陷、硬件存在调试接口、可横向控制等安全缺陷。

  很多网友问,使用摄像头,有何建议?如何选择安全的摄像头?

  不要贪小便宜,选择山寨、无3C 认证、品质不靠谱的产品  

  不要贪小便宜,选择山寨、无3C 认证、品质不靠谱的产品。选择大品牌,有安全积累的智能摄像机,绑定的账号尽量使用独立用户和密码,勿在公共wifi下远程管理摄像头。

  在选购智能摄像头产品时,最基础且稳妥的方法,是在正规渠道选购大厂商的产品,切勿贪图便宜,购买“三无”或者山寨产品。同时,在使用产品之前,仔细查看相关说明和厂商声明,充分了解选购产品和服务的各项功能,注意和防范用户信息可能泄漏的风险。在使用时,应及时修改初始密码,密码需具备一定复杂度并养成定期修改的习惯。

  以360智能摄像机为例,就开发了4项防护措施保护用户信息和隐私安全,确保360智能摄像机同服务器、服务器同手机之间的信息交互安全。在使用过程中,除与设备绑定的机主本人之外,其他人在未授权的情况下均无法看到摄像机的监控内容。同时在视频数据流传输上,360智能摄像机采用私有加密协议进行传输,确保信息传输通道的安全,即使被黑客获取,得到的也只是一些加密数据,保证数据流传输的安全。

  从目前来看,受到价格、渠道等多重因素的影响,大量山寨机、贴牌机,以及小厂家的摄像机产品正加速流入市场,这类产品往往不具备严格的安防机制,用户隐私风险极高,用户在选购时需严加甄选。专业人士建议,最为保险的办法还是选择安全可靠的正规产品,知名大厂推出的网络摄像头在产品质量,安全防护水平及产品维护售后方面都有保障,可避免不必要的麻烦。

  贾子骁

  国家互联网应急中心工程师

  郑广瑞

  360高级工程师

(责任编辑:彭森)
010070260010000000000000011111621121177202